CN106411817A - 时间戳认证系统及方法 - Google Patents
时间戳认证系统及方法 Download PDFInfo
- Publication number
- CN106411817A CN106411817A CN201510456155.0A CN201510456155A CN106411817A CN 106411817 A CN106411817 A CN 106411817A CN 201510456155 A CN201510456155 A CN 201510456155A CN 106411817 A CN106411817 A CN 106411817A
- Authority
- CN
- China
- Prior art keywords
- packet
- server
- force
- renew
- force renew
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种时间戳认证系统,运行于服务器中,该服务器与客户端通信连接,该系统包括:生成模块,用于在服务器上的DHCP的配置变更以后,依次生成至少两个Force Renew数据包,所述Force Renew数据包中包含时间戳FTime、时间差FTD;加密模块,用于以服务器的私有秘钥对生成的Force Renew数据包进行非对称加密;发送模块,用于将至少两个Force Renew数据包按照其生成的先后顺序发送给客户端;及反馈模块,用于在接收到客户端发送的Renew数据包后,向客户端发送Reply数据包。本发明还提供一种时间戳认证方法。通过本发明,可提高客户端与服务器之间的安全性。
Description
技术领域
本发明涉及一种时间戳认证系统和方法。
背景技术
现如今,当客户端连接到服务器时,服务器根据其上配置的DHCP协议自动为客户端分配IP地址等信息。当服务器上的DHCP协议的配置变更以后,服务器向客户端发送Force Renew数据包,通知客户端向服务器重新申请IP地址等信息。但是客户端不会对Force Renew数据包进行验证,使得当客户端接收到虚假服务器发送的Force Renew数据包后,客户端会向虚假服务器申请IP地址,从而出现安全问题。
发明内容
鉴于以上内容,有必要提供一种时间戳认证系统及方法,使得客户端可以验证Force Renew数据包是否是从虚假服务器发出。
一种时间戳认证系统,运行于服务器中,该服务器与客户端通信连接,该系统包括:生成模块,用于在服务器上的DHCP的配置变更以后,依次生成至少两个Force Renew数据包,所述Force Renew数据包中包含时间戳FTime、时间差FTD;加密模块,用于以服务器的私有秘钥对生成的Force Renew数据包进行非对称加密;发送模块,用于将至少两个Force Renew数据包按照其生成的先后顺序发送给客户端;及反馈模块,用于在接收到客户端发送的Renew数据包后,向客户端发送Reply数据包。
一种时间戳认证方法,应用于服务器中,该服务器与客户端通信连接,该方法包括:生成步骤,在服务器上的DHCP的配置变更以后,依次生成至少两个Force Renew数据包,所述ForceRenew数据包中包含时间戳FTime、时间差FTD;加密步骤,以服务器的私有秘钥对生成的Force Renew数据包进行非对称加密;发送步骤,将至少两个Force Renew数据包按照其生成的先后顺序发送给客户端;及反馈步骤,在接收到客户端发送的Renew数据包后,向客户端发送Reply数据包。
相较于现有技术,本发明中的服务器生成的Force Renew数据包包含时间戳FTime以及时间差FTD,且Force Renew数据包被服务器以私有秘钥进行加密。客户端可根据连续两个Force Renew数据包中的FTime以及FTD验证该Force Renew数据包是否是从虚假服务器中发出。通过本技术,提高了客户端与服务器之间的安全性。
附图说明
图1是本发明时间戳认证系统的较佳实施例的运行环境示意图。
图2是本发明时间戳认证方法的较佳实施例的流程图。
主要元件符号说明
服务器 | 1 |
时间戳认证系统 | 10 |
生成模块 | 101 |
加密模块 | 102 |
发送模块 | 103 |
反馈模块 | 104 |
第一通信装置 | 11 |
第一处理器 | 12 |
第一存储装置 | 13 |
客户端 | 2 |
第二通信装置 | 21 |
第二处理器 | 22 |
第二存储装置 | 23 |
如下具体实施方式将结合上述附图进一步说明本发明。
具体实施方式
为便于理解,以下对本发明所涉及的术语做简要说明:
非对称加密中的加密和解密需要以两个不同的秘钥进行处理,两个秘钥分别为:公有秘钥和私有秘钥。若以其中一个秘钥加密,则需要以另一个秘钥进行解密。例如以公有秘钥进行加密,则需要以私有秘钥进行解密。反之以私有秘钥进行加密,则需要以公有秘钥进行解密。
动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)是一个局域网的网络协议。配置于客户端和服务器上,当客户端连接到服务器时,服务器自动为客户端分配IP地址。网络管理员可通过服务器管理内部网络。
当服务器上的DHCP的配置变更后,连接到该服务器上的客户端需要重新获取IP地址等信息。其过程如下:服务器以单播的方式向连接到该服务器的客户端发送数据包以通知客户端重新获取IP地址等信息,该数据包为Force Renew。当客户端收到服务器发送的Force Renew数据包后,向服务器发送请求重新配置的申请,也即Renew数据包。当服务器收到客户端发送的Renew数据包后,向客户端做出回应,也即向客户端发送Reply数据包。客户端根据接收到的Reply数据包变更相关的配置,例如变更IP地址等。
参阅图1所示,是本发明时间戳认证系统10的较佳实施例的运行环境示意图。所述时间戳认证系统10运行于服务器1中,该服务器1与多个客户端2相连接。所述服务器1包含第一通信装置11,每个客户端2包含一个第二通信装置21,所述服务器1与客户端2通过第一通信装置11与第二通信装置21通信连接。所述第一通信装置11与第二通信装置21可以是WiFi设备、无线网卡等能够实现无线网络连接的设备,也可以是其他实现有线网络连接的设备。
所述服务器1还包括,但不限于,第一处理器12以及第一存储装置13。所述客户端还包含第二处理器22以及第二存储装置23。所述第一存储装置13以及第二存储装置23可以是内存等内部存储设备,也可以是智能媒体卡(Smart Media Card)、安全数字卡(Secure Digital Card)、快闪存储器卡(Flash Card)等外部储存设备。所述服务器1是配置有动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)的DHCP服务器。所述客户端2可以是手机、平板电脑、路由器等包含IP地址的设备。
在本实施例中,本发明所述的时间戳认证系统10可以被分割成一个或多个模块,所述一个或多个模块均被存储于第一存储装置13中,并由一个或多个第一处理器12(本实施例为一个处理器)所执行,以完成本发明。参阅图1所示,本发明所述的时间戳认证系统10被分割成生成模块101、加密模块102、发送模块103以及反馈模块104。本发明所称的模块是指能够完成特定功能的一系列计算机程序段,比程序更适合于描述所述时间戳认证系统10在服务器1中的执行过程。以下将结合图2的流程图来描述各个模块的具体功能。
参阅图2所示,是本发明时间戳认证方法的较佳实施例的流程图。在本实施例中,根据不同的需求,图2所示的流程图中的步骤的执行顺序可以改变,某些步骤可以省略。
当服务器1上的DHCP的配置变更以后,步骤S20,生成模块101依次生成至少两个Force Renew数据包。所述Force Renew数据包中包含时间戳FTime、时间差FTD以及服务器识别码ServerID等信息,且后生成的Force Renew数据包中的时间戳FTime是其前一个Force Renew数据包中的时间戳FTime与时间差FTD的和。例如生成模块101生成的第一个Force Renew数据包的FTime为10000,FTD为20,则生成的第二个Force Renew数据包的FTime必须为10000+20,也即10020。
在本实施例中,生成模块101生成的各个Force Renew数据包中的时间差FTD不是一个固定的值。例如,生成模块101每次从某一数值范围内随机取一个整数作为一个Force Renew数据包的FTD。例如生成模块101从10到100之间随机取一个整数作为Force Renew数据包的FTD。在其他实施例中,生成模块101生成的各个Force Renew数据包中的时间差FTD也可以是某一固定的值。
步骤S21,加密模块102以服务器1的私有秘钥对生成的Force Renew数据包进行非对称加密。所述服务器1中的第一存储装置13中存储有该服务器1的私有秘钥。
步骤S22,发送模块103将至少两个Force Renew数据包按照其生成的先后顺序发送给客户端2。所述发送模块103每隔指定时间间隔(例如100毫秒)按照生成顺序向客户端2发送一个ForceRenew数据包,直到收到客户端2的回复(也即Renew数据包)时停止发送。
需要说明的是,所述生成模块101在首次运行时会生成两个连续的Force Renew数据包。加密模块102加密生成的ForceRenew数据包后,经由发送模块103发送给客户端2。若在第二个Force Renew数据包发出后的一定时间(例如80毫秒,假设两个Force Renew数据包的发送时间间隔是100毫秒)内,未收到客户端2的回复,则生成模块101生成第三个Force renew数据包,该第三个Force Renew数据包经过加密模块102加密处理后,由发送模块103在第二个Force Renew数据包发出后的指定时间间隔(例如100毫秒)时,发送给客户端2。依次类推之后的ForceRenew数据包。
当客户端2从某一服务器连续接收到至少两个Force Renew数据包后,所述客户端2判断发送Force Renew数据包的服务器是不是虚假服务器,并在发送Force Renew数据包的服务器不是虚假服务器时,向该服务器发送Renew数据包。所述客户端2以服务器1的公有秘钥解密接收到的Force Renew数据包,并根据能否解密以及解密后的两个Force Renew数据包中的FTime与FTD判断发送Force Renew数据包的服务器是不是虚假服务器。
若客户端2不能以服务器1的公有秘钥解密Force Renew数据包,则表示该Force Renew数据包不是从服务器1发出的,也即客户端2判断发送Force Renew数据包的服务器是虚假服务器。当客户端2能够以服务器1的公有秘钥解密Force Renew数据包,则客户端2判断后接收的Force Renew数据包中的FTime是否等于先接收的Force Renew数据包中的FTime与FTD的和。若后接收的Force Renew数据包中的FTime等于先接收的Force Renew数据包中的FTime与FTD的和,则客户端2判断发送Force Renew数据包的服务器不是虚假服务器。若后接收的Force Renew数据包中的FTime不等于先接收的Force Renew数据包中的FTime与FTD的和,则客户端2无法判断发送Force Renew数据包的服务器是不是虚假服务器,客户端2拒绝向发出该Force Renew数据包的服务器做出回应。例如服务器1连续生成三个Force Renew数据包并发送给客户端2,因一些原因(例如网络延迟、丢失数据包等),客户端2连续接收的两个Force Renew数据包不是连续的,例如接收到第一个Force Renew数据包和第三个Force Renew数据包。则客户端2无法根据Force Renew数据包中的FTime与FTD判断Force Renew数据包是由服务器1发出的。
在本实施例中,所述客户端2的第二存储装置23中预先存储有对应于服务器1中的私有秘钥的公有秘钥。在其他实施例中,所述客户端2也可通过其他方式获取对应于服务器1中的私有秘钥的公有秘钥,例如从指定网站下载。
当客户端2判断发送Force Renew数据包的服务器不是虚假服务器时,客户端2向该服务器发送Renew数据包以请求重新获取IP地址等信息。
步骤S23,反馈模块104在接收到客户端2发送的Renew数据包后,向客户端2发送Reply数据包。客户端2接收到Reply数据包后,根据Reply数据包变更相关的配置,例如变更IP地址等。
最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。
Claims (10)
1.一种时间戳认证系统,运行于服务器中,该服务器与客户端通信连接,其特征在于,该系统包括:
生成模块,用于在服务器上的DHCP的配置变更以后,依次生成至少两个Force Renew数据包,所述Force Renew数据包中包含时间戳FTime、时间差FTD;
加密模块,用于以服务器的私有秘钥对生成的Force Renew数据包进行非对称加密;
发送模块,用于将至少两个Force Renew数据包按照其生成的先后顺序发送给客户端;及
反馈模块,用于在接收到客户端发送的Renew数据包后,向客户端发送Reply数据包。
2.如权利要求1所述的时间戳认证系统,其特征在于,所述生成模块连续生成的两个Force Renew数据包中,后生成的Force Renew数据包中的FTime为其前一个Force Renew数据包中的FTime与FTD之和。
3.如权利要求1所述的时间戳认证系统,其特征在于,所述生成的各个Force Renew数据包中的FTD不是一个固定值。
4.如权利要求1所述的时间戳认证系统,其特征在于,所述客户端在连续接收到至少两个Force Renew数据包后,根据接收的Force Renew数据包中的FTime及FTD判断发送ForceRenew数据包的服务器是不是虚假服务器。
5.如权利要求4所述的时间戳认证系统,其特征在于,当接收的Force Renew数据包能够以对应于服务器的私有秘钥的公有秘钥解密,且解密后的后接收的Force Renew数据包中的FTime是先接收的Force Renew数据包中的FTime与FTD之和,则判断发送Force Renew数据包服务器不是虚假服务器。
6.一种时间戳认证方法,应用于服务器中,该服务器与客户端通信连接,其特征在于,该方法包括:
生成步骤,在服务器上的DHCP的配置变更以后,依次生成至少两个Force Renew数据包,所述Force Renew数据包中包含时间戳FTime、时间差FTD;
加密步骤,以服务器的私有秘钥对生成的Force Renew数据包进行非对称加密;
发送步骤,将至少两个Force Renew数据包按照其生成的先后顺序发送给客户端;及
反馈步骤,在接收到客户端发送的Renew数据包后,向客户端发送Reply数据包。
7.如权利要求6所述的时间戳认证方法,其特征在于,所述生成步骤连续生成的两个Force Renew数据包中,后生成的Force Renew数据包中的FTime为其前一个Force Renew数据包中的FTime与FTD之和。
8.如权利要求6所述的时间戳认证方法,其特征在于,所述生成的各个Force Renew数据包中的FTD不是一个固定值。
9.如权利要求6所述的时间戳认证方法,其特征在于,所述客户端在连续接收到至少两个Force Renew数据包后,根据接收的Force Renew数据包中的FTime及FTD判断发送ForceRenew数据包的服务器是不是虚假服务器。
10.如权利要求9所述的时间戳认证方法,其特征在于,所述客户端包含对应于服务器的私有秘钥的公有秘钥,当接收的Force Renew数据包能够以对应于服务器的私有秘钥的公有秘钥解密,且解密后的后接收的Force Renew数据包中的FTime是先接收的Force Renew数据包中的FTime与FTD之和,则判断发送Force Renew数据包服务器不是虚假服务器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510456155.0A CN106411817A (zh) | 2015-07-29 | 2015-07-29 | 时间戳认证系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510456155.0A CN106411817A (zh) | 2015-07-29 | 2015-07-29 | 时间戳认证系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106411817A true CN106411817A (zh) | 2017-02-15 |
Family
ID=58008678
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510456155.0A Pending CN106411817A (zh) | 2015-07-29 | 2015-07-29 | 时间戳认证系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106411817A (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7447184B1 (en) * | 2004-09-08 | 2008-11-04 | Airtight Networks, Inc. | Method and system for detecting masquerading wireless devices in local area computer networks |
CN101656764A (zh) * | 2009-09-22 | 2010-02-24 | 中兴通讯股份有限公司 | Dhcp用户的会话保活方法、系统和装置 |
CN102461073A (zh) * | 2009-04-24 | 2012-05-16 | 北方电讯网络有限公司 | 用于适应重复mac地址的方法和设备 |
-
2015
- 2015-07-29 CN CN201510456155.0A patent/CN106411817A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7447184B1 (en) * | 2004-09-08 | 2008-11-04 | Airtight Networks, Inc. | Method and system for detecting masquerading wireless devices in local area computer networks |
CN102461073A (zh) * | 2009-04-24 | 2012-05-16 | 北方电讯网络有限公司 | 用于适应重复mac地址的方法和设备 |
CN101656764A (zh) * | 2009-09-22 | 2010-02-24 | 中兴通讯股份有限公司 | Dhcp用户的会话保活方法、系统和装置 |
Non-Patent Citations (1)
Title |
---|
Y. T’JOENS等: "DHCP reconfigure extension", 《RFC3203》 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106357649B (zh) | 用户身份认证系统和方法 | |
CN101510877B (zh) | 单点登录方法和系统、通信装置 | |
KR101438343B1 (ko) | 융합형 네트워크에서 사용자 키를 할당하기 위한 방법 | |
CN101772024B (zh) | 一种用户身份确定方法及装置和系统 | |
CN102088441B (zh) | 消息中间件的数据加密传输方法和系统 | |
CN102340650B (zh) | 终端视频监控的方法及系统 | |
CN108540436B (zh) | 基于量子网络实现信息加解密传输的通信系统和通信方法 | |
CN103036867A (zh) | 基于相互认证的虚拟专用网络服务设备和方法 | |
CN105007577A (zh) | 一种虚拟sim卡参数管理方法、移动终端及服务器 | |
CN104917727A (zh) | 一种帐户鉴权的方法、系统及装置 | |
CN104104516A (zh) | 一种Portal认证方法和设备 | |
CN105391681A (zh) | 通信系统、通信设备、车辆和通信方法 | |
CN102143492B (zh) | Vpn连接建立方法、移动终端、服务器 | |
CN102088352B (zh) | 消息中间件的数据加密传输方法和系统 | |
CN108964895B (zh) | 基于群组密钥池和改进Kerberos的User-to-User身份认证系统和方法 | |
CN113194476B (zh) | 一种设备激活及鉴权绑定方法 | |
CN101145907B (zh) | 基于dhcp实现用户认证的方法及系统 | |
CN108306793B (zh) | 智能设备、智能家居网关、建立连接的方法及系统 | |
CN102045343B (zh) | 基于数字证书的通讯加密安全控制方法、服务器及系统 | |
CN101827106A (zh) | 一种dhcp安全通信方法、装置和系统 | |
CN103597866A (zh) | 移动网络 | |
CN107360021A (zh) | 一种局域网配网方法及装置 | |
CN105228144B (zh) | 基于临时mac地址的接入方法、装置及系统 | |
CN113613227A (zh) | 蓝牙设备的数据传输方法和装置、存储介质及电子装置 | |
CN107426251A (zh) | 终端安全性检测方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20180226 Address after: 201613 Shanghai city south of Songjiang Export Processing Zone Road No. 1925 Applicant after: Ambit Microsystems (Shanghai) Co., Ltd. Address before: 201613 Shanghai City, Songjiang District Songjiang Export Processing Zone South Road No. 1925 Applicant before: Ambit Microsystems (Shanghai) Co., Ltd. Applicant before: Hon Hai Precision Industry Co., Ltd. |
|
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170215 |